Ransomware, Ryuk en Risk: Beginnen met het begrijpen van de epische aanval op Epiq

According to Shyam Oza, Director of Product Management at Spanning, “The best way to protect your business from Ryuk is to avoid it. Avoidance comes when employees are educated in the matters of ransomware. Some employees do not receive the training, some do, and some know it all too well. Yet, human errors seem to be responsible for 90% of data breaches. Clearly, this tactic is not working.”

en flag
nl flag
et flag
fi flag
fr flag
de flag
pt flag
ru flag
es flag

Opmerking redacteur: De recente ransomware aanval op juridische diensten en eDiscovery provider Epiq heeft het bewustzijn van cyberbeveiliging in de gegevensontdekking en juridische ontdekking professionele gemeenschap versneld. De erkende ransomware-aanval lijkt te zijn geïnitieerd met een TrickBot infectie die de implementatie van Ryuk-ransomware mogelijk maakte. De volgende uittreksels delen informatie en inzichten die nuttig kunnen zijn voor advocatenkantoren, bedrijven en dienstverleners in het eDiscovery ecosysteem die meer willen weten over ransomware, de Ryuk-ransomware-familie, en om het risico van ransomware-aanvallen te verminderen.

Een uittreksel uit de Amerikaanse overheid Interagency Publicatie op Ransomware

Ransomware: Wat het is en wat te doen

Wat is Ransomware?

Ransomware is een soort kwaadaardige software die cyberactoren gebruiken om toegang tot systemen of gegevens te weigeren. De kwaadaardige cyberactor houdt systemen of gegevens gegijzeld totdat het losgeld is betaald. Na de eerste infectie probeert de ransomware zich te verspreiden naar gedeelde opslagstations en andere toegankelijke systemen. Als niet aan de eisen wordt voldaan, blijven het systeem of de versleutelde gegevens niet beschikbaar of kunnen gegevens worden verwijderd.

Hoe bescherm ik mijn netwerken?

Een inzet voor cyberhygiëne en best practices is cruciaal voor de bescherming van uw netwerken. Hier zijn enkele vragen die u wellicht aan uw organisatie wilt stellen om ransomware-aanvallen te voorkomen:

Back-ups: maken we een back-up van alle kritieke informatie? Worden de back-ups offline opgeslagen? Hebben we ons vermogen getest om terug te keren naar back-ups tijdens een incident?

Risicoanalyse: Hebben we een cybersecurity risicoanalyse van de organisatie uitgevoerd?

Personeelstraining: Hebben we personeel getraind op het gebied van best practices voor cybersecurity?

Kwetsbaarheid Patching: Hebben we de juiste patching van bekende systeemkwetsbaarheden geïmplementeerd?

Toepassing Whitelisting: Staan we alleen goedgekeurde programma's toe om op onze netwerken te draaien?

Incident Response: Hebben we een incident response plan en hebben we dat uitgeoefend?

Bedrijfscontinuïteit: Kunnen we bedrijfsactiviteiten ondersteunen zonder toegang tot bepaalde systemen? Hoe lang? Hebben we dit getest?

Penetratie testen: Hebben we geprobeerd om onze eigen systemen te hacken om de veiligheid van onze systemen en ons vermogen om te verdedigen tegen aanvallen te testen?

Hoe reageer ik op Ransomeware?

Implementeer uw respons op beveiligingsincidenten en bedrijfscontinuïteitsplan. Het kan tijd duren voordat de IT-professionals van uw organisatie de dreiging van ransomware voor uw systemen isoleren en verwijderen en gegevens en normale bewerkingen herstellen. In de tussentijd moet u stappen ondernemen om de essentiële functies van uw organisatie te behouden volgens uw bedrijfscontinuïteitsplan. Organisaties moeten back-upplannen, rampenherstelplannen en bedrijfscontinuïteitsprocedures onderhouden en regelmatig testen.

Neem onmiddellijk contact op met de politie. We raden u aan om onmiddellijk contact op te nemen met een lokale FBI of USSS veldkantoor om een ransomware-evenement te melden en om hulp te vragen. Er zijn ernstige risico's om te overwegen voordat u het losgeld betaalt. We moedigen niet aan om losgeld te betalen. We begrijpen dat wanneer bedrijven geconfronteerd worden met een onvermogen om te functioneren, leidinggevenden alle opties zullen evalueren om hun aandeelhouders, werknemers en klanten te beschermen. Houd rekening met de volgende risico's als u deze keuze overweegt:

Het betalen van losgeld garandeert niet dat een organisatie weer toegang krijgt tot hun gegevens; sommige personen of organisaties hebben zelfs nooit ontcijferingssleutels gekregen nadat ze een losgeld hadden betaald.

Sommige slachtoffers die de vraag betaalden, hebben gemeld dat ze opnieuw het doelwit zijn van cyberactoren.

Na het betalen van het oorspronkelijk gevraagde losgeld, zijn sommige slachtoffers gevraagd om meer te betalen om de beloofde decoderingssleutel te krijgen.

Betalen kan per ongeluk dit criminele bedrijfsmodell aanmoedigen.

Lees het volledige document op Ransomware: Wat het is en wat te doen over het (PDF)

Een uittreksel uit een artikel van Gabriela Nicolao en Luciano Martins

Virus Bulletin 2019 Paper: Shinigami's wraak: de lange staart van de Ryuk Malware

Abstract

Ryuk is een ransomware-familie die, in tegenstelling tot reguliere ransomware, gebonden is aan gerichte campagnes waarbij afpersing dagen of weken na een eerste infectie kan plaatsvinden. Ryuk werd voor het eerst waargenomen in augustus 2018 en blijft actief vanaf juli 2019.

Onder de slachtoffers vinden we bedrijven uit verschillende industrieën, waaronder kranten, restaurants, openbare instellingen en een cloudserviceprovider. Ryuk is gezien als een tweede fase payload geleverd in campagnes waarbij Emotet en Trickbot betrokken zijn, twee van de meest wijdverspreide bedreigingen die momenteel worden gebruikt in malware campagnes.

Ryuk draagt een sterke code gelijkenis met de Hermes ransomware en werd waarschijnlijk ontwikkeld en mogelijk verspreid door dezelfde bedreiging acteur (s). De code-overeenkomsten gevonden tussen Ryuk en Hermes — een lading die naar verluidt gekoppeld was aan Noord-Koreaanse dreigingsactoren — leidden analisten aanvankelijk om te vermoeden dat Ryuk was aangesloten bij de beruchte Lazarus APT (Advance Persistent Threat) groep. Echter, die attributie werd weggegooid op basis van bewijs dat werd verzameld op een donker webforum en de malware werd later toegeschreven aan Russisch sprekende acteurs mogelijk bekend als Grim Spider.

Ryuk Chronologie

Ryuk is een crypto-ransomware die voor het eerst werd genoemd in een Tweet op 17 augustus 2018. Het gebruikte 'Ryukreadme.txt' als losgeldbriefje, vandaar de naam.Ryuk is ook de naam van een fictief personage bekend als Shinigami (God of Death) in een manga en anime serie genaamd Death Note.

Op het moment dat Ryuk werd voor het eerst gemeld, het had al geraakt drie bedrijven in verschillende landen, en onderzoekers wezen erop dat Ryuk was gebaseerd op de beruchte Hermes ransomware broncode en dat het gebruikte hetzelfde losgeld note formaat als BitPaymer.

De Hermes ransomware werd gebruikt door Lazarus, een Noord-Koreaanse gesponsorde dreigingsacteur groep actief sinds 2009. Als gevolg van de toewijzing van Hermes aan Lazarus, onderzoekers geloofden dat Ryuk ook verwant was aan Lazarus.

Lees het volledige artikel op Shinigami's Revenge: The Long Tail of the Ryuk Malware

Een uittreksel uit een artikel van Shyam Oza via Spanning

Rjoek Ransomware

In het najaar van 2018 werd een aangepaste versie van Hermes ransomware ontdekt: Ryuk. Zowel Hermes als Ryuk hebben vergelijkbare kenmerken. Ze identificeren en versleutelen netwerkapparaten samen met het verwijderen van schaduwkopieën die zijn opgeslagen op de eindpunten. Het enige verschil is hoe ze de encryptiesleutels maken. Terwijl Hermes een RSA en privésleutelpaar gebruikt, gebruikt Ryuk een tweede RSA publieke sleutel.

Ryuk ransomware is lucratiever dan zijn voorganger. Het richt zich op grote organisaties en overheidsinstanties die uiteindelijk grote bedragen betalen. De waarheid is, zonder de grote uitbetalingen, het verwerken van Ryuk aanvallen is niet duurzaam. Het gaat om een hoge mate van handmatige processen (directe exploitatie, betalingsaanvragen afgehandeld via e-mail, enz.) en de aanvallers willen geen tijd verspillen als de ROI niet goed is.

Hoe werkt Ryuk?

Ryuk ransomware is niet het begin, maar het einde van een infectiecyclus. Het is ransomware dat stapsgewijs in vorm komt, en als het toeslaat, is het dodelijk.

Lees het complete artikel op Ryuk Ransomware

Een uittreksel uit een artikel van Lawrence Abrams

Ryuk Ransomware aangevallen Epiq Global via TrickBot infectie

De aanval van Epiq Global begon met een TrickBot infectie

Vandaag heeft een bron in de cybersecurity industrie uitsluitend informatie gedeeld met BleepingComputer die licht werpt op hoe Epiq Global besmet raakte.

In december 2019 raakte een computer op het netwerk van Epiq geïnfecteerd met de TrickBot malware.

TrickBot wordt meestal geïnstalleerd door het Emotet Trojan, dat wordt verspreid via phishing e-mails.

Zodra TrickBot is geïnstalleerd, zal het verzamelen van verschillende gegevens, waaronder wachtwoorden, bestanden en cookies, van een gecompromitteerde computer en zal dan proberen verspreid lateraal over een netwerk om meer gegevens te verzamelen.

Wanneer u klaar bent met het verzamelen van gegevens op een netwerk, zal TrickBot een reverse shell openen voor de Ryuk operators.

De Ryuk Actors zullen dan toegang hebben tot de geïnfecteerde computer en beginnen met het uitvoeren van verkenning van het netwerk. Nadat ze beheerdersreferenties hebben verkregen, zullen ze de ransomware implementeren op de apparaten van het netwerk met PowerShell Empire of PSExec.

In het geval van Epiq Global werd Ryuk ingezet op hun netwerk op zaterdagochtend 29 februari 2020, toen de ransomware begonnen met het coderen van bestanden op geïnfecteerde computers.

Terwijl Ryuk wordt beschouwd als een veilige ransomware zonder enige zwakke punten in de encryptie, Emsisoft's Brett Callow heeft BleepingComputer verteld dat er een kleine kans dat ze kunnen helpen herstellen van bestanden gecodeerd door de Ryuk ransomware.

„Bedrijven die getroffen zijn door Ryuk moeten contact met ons opnemen. Er is een kleine - zeer kleine - kans dat we in staat zijn om hen te helpen hun gegevens te herstellen zonder het losgeld te hoeven betalen,” Callow vertelde BleepingComputer.com.

Hoewel de kansen zijn zeer klein, als uw apparaten zijn gecodeerd door de Ryuk Ransomware het geen kwaad om te controleren met Emsisoft.

BleepingComputer heeft contact met Epiq met verdere vragen over deze aanval, maar hebben nog niet gehoord op dit moment.

Lees het complete artikel op Ryuk Ransomware Aangevallen Epiq Global Via TrickBot Infection

Aanvullend lezen

Een Epiq Ransomware aanval raakt Leader van juridische diensten

Het kruispunt van internationaal recht en cyberoperaties: een interactieve cyberrechtentoolkit

Bron: ComplexDiscovery